Для мониторинга сетевого трафика, например, анализа поведения пользователей в сети, мониторинга аномального трафика и мониторинга сетевых приложений, необходимо собирать сетевой трафик. Сбор данных может быть неточным. Фактически, необходимо скопировать текущий сетевой трафик и отправить его на устройство мониторинга. Сетевой разветвитель, также известный как сетевой TAP. Он как раз и выполняет эту функцию. Давайте рассмотрим определение сетевого TAP:
I. Сетевой перехватчик — это аппаратное устройство, которое обеспечивает доступ к данным, передаваемым по компьютерной сети. (из Википедии)
II. АСетевой кран, также известный как тестовый порт доступа, — это аппаратное устройство, которое подключается непосредственно к сетевому кабелю и передаёт сетевой трафик другим устройствам. Сетевые разветвители обычно используются в системах обнаружения вторжений (IPS), сетевых детекторах и профилировщиках. Репликация трафика на сетевые устройства в настоящее время обычно осуществляется через анализатор коммутируемых портов (span-порт), также известный как зеркалирование портов в сетевой коммутации.
III. Сетевые ответвители используются для создания постоянных портов доступа для пассивного мониторинга. Ответвитель, или тестовый порт доступа, может быть настроен между любыми двумя сетевыми устройствами, такими как коммутаторы, маршрутизаторы и межсетевые экраны. Он может функционировать как порт доступа для устройства мониторинга, используемого для сбора данных в режиме реального времени, включая системы обнаружения вторжений, системы предотвращения вторжений, развернутые в пассивном режиме, анализаторы протоколов и инструменты удаленного мониторинга. (от NetOptics).
Из трех приведенных выше определений можно выделить несколько основных характеристик сетевого TAP: аппаратный, встроенный, прозрачный.
Вот некоторые из этих особенностей:
1. Это независимое аппаратное обеспечение, и поэтому оно не оказывает никакого влияния на нагрузку существующих сетевых устройств, что имеет большие преимущества по сравнению с зеркалированием портов.
2. Это устройство, работающее в линейном режиме. Проще говоря, оно должно быть подключено к сети, что понятно. Однако это также имеет недостаток, заключающийся в появлении точки отказа, и поскольку это устройство работает в режиме онлайн, текущая сеть должна быть прервана во время развёртывания, в зависимости от того, где оно развёрнуто.
3. Прозрачность относится к указателю на текущую сеть. Сети доступа после шунта, текущая сеть для всего оборудования, не оказывает никакого влияния, для них она полностью прозрачна, конечно, она также содержит сетевой шунт, отправляющий трафик на оборудование мониторинга, устройство мониторинга сети прозрачно, как будто вы находитесь в новом доступе к новой электрической розетке. Для других существующих устройств ничего не происходит, даже когда вы наконец снимаете устройство и вдруг вспоминаете стихотворение «Махни рукавом — и не облако»...
Многие знакомы с зеркалированием портов. Да, зеркалирование портов может достичь того же эффекта. Вот сравнение сетевых ответвителей/переключателей и зеркалирования портов:
1. Поскольку порт коммутатора сам отфильтровывает некоторые ошибочные пакеты и пакеты слишком малого размера, зеркалирование портов не может гарантировать получение всего трафика. Однако шунтирующий коммутатор обеспечивает целостность данных, поскольку они полностью «копируются» на физическом уровне.
2. Что касается производительности в режиме реального времени, на некоторых коммутаторах начального уровня зеркалирование портов может приводить к задержкам при копировании трафика на зеркалируемые порты, а также к задержкам при копировании портов 10/100 Мбит/с на порты GIGA.
3. Для зеркалирования портов требуется, чтобы пропускная способность зеркалируемого порта была больше или равна сумме пропускных способностей всех зеркалируемых портов. Однако это требование может быть выполнено не всеми коммутаторами.
4. На коммутаторе необходимо настроить зеркалирование портов. После настройки зон мониторинга необходимо перенастроить коммутатор.
Время публикации: 05 августа 2022 г.
